El paquete de actualizaciones de seguridad de SAP para mayo de 2025 incluye una revisión urgente del parche de emergencia previamente distribuido para una vulnerabilidad crítica de día cero (CVE-2025-31324). Esta vulnerabilidad continúa siendo explotada activamente en diversos sectores a nivel global.
Esta nueva versión incorpora 16 notas de seguridad y 2 actualizaciones de notas ya existentes, con un énfasis particular en la resolución de la grave vulnerabilidad detectada en NetWeaver.
La vulnerabilidad crítica, calificada con la puntuación CVSS máxima posible de 10.0, afecta al componente del servidor de desarrollo Visual Composer de SAP NetWeaver (VCFRAMEWORK 7.50).
La falla, reportada por primera vez por la firma de investigación de seguridad ReliaQuest el 22 de abril de 2025, llevó a SAP a emitir un parche de emergencia el 24 de abril. La actualización de hoy refuerza la protección contra la evolución de las técnicas de explotación.
La causa principal del problema es una verificación de autenticación y autorización incorrecta en la aplicación. Esto significa que el Cargador de metadatos no está protegido cuando un usuario no autenticado desea aprovechar algunas de sus funciones.
Los investigadores de seguridad han determinado que la explotación comenzó el 20 de enero de 2025, y que los intentos de explotación reales comenzaron alrededor del 10 de febrero.
Esta vulnerabilidad es particularmente peligrosa porque permite a atacantes remotos no autenticados cargar archivos arbitrarios, incluidos ejecutables maliciosos, lo que compromete completamente el sistema.
Aunque inicialmente se pensó que se limitaba a la carga de archivos arbitrarios, investigaciones posteriores han identificado que en realidad se trata de ejecución remota de comandos (RCE)», señala Onapsis en su aviso actualizado.
Se ha observado a los atacantes cargando webshells JSP con nombres como “helper.jsp” y “cache.jsp” para facilitar el acceso persistente.
El impacto de la vulnerabilidad abarca numerosos sectores, y Onapsis y Mandiant confirman «la explotación en todas las industrias y geografías, incluidos compromisos confirmados en energía y servicios públicos, manufactura, medios y entretenimiento, petróleo y gas, productos farmacéuticos, comercio minorista y organizaciones gubernamentales».
Aunque SAP Visual Composer no está instalado de forma predeterminada, las investigaciones indican que está «instalado y habilitado en al menos el 50% de los sistemas Java, y la investigación indica que el porcentaje podría llegar al 70%».
La extensa implementación de esta tecnología ha generado una considerable superficie de ataque. A partir del 5 de mayo de 2025, firmas de seguridad han detectado «una segunda oleada de ataques coordinados por actores de amenazas oportunistas que están explotando los webshells instalados previamente durante el ataque inicial de día cero».
Los ataques más recientes han sido vinculados a un actor de amenazas de origen chino identificado como Chaya_004.
